Essa vulnerabilidade no PHP permite ver código fonte mas nem todos estão vulneráveis. Se você usar mod_php ou php-fpm no nginx, não estará vulnerável mas se usar  mod_cgi aí sim a coisa fica ruim e seus fontes ficarão expostos.

Para saber se você está com essa vulnerabilidade basta colocar ?-s no fim de qualquer url do seu site, se aparecer o código fonte então você está vulnerável, se abrir o site normalmente então pode ficar tranqüilo.

Estranhamente parece que o Facebook está mas eles devem consertar logo:

http://www.facebook.com/?-s

<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';

Se você tiver vulnerável pode atualizar para as versões que corrigem esse problema: 5.3.12 e 5.4.2
Mais informações nos links abaixo:
PHP_NET
VuXML